hacktricks/macos-hardening/macos-security-and-privilege-escalation/macos-applefs.md

3.2 KiB
Raw Blame History

macOS AppleFS

从零开始学习AWS黑客技术成为专家 htARTEHackTricks AWS Red Team Expert

支持HackTricks的其他方式

Apple专有文件系统APFS

Apple文件系统APFS是一种现代文件系统旨在取代分层文件系统加强版HFS+)。其开发是为了满足改进性能、安全性和效率的需求。

APFS的一些显著特点包括

  1. 空间共享APFS允许多个卷共享单个物理设备上的相同底层空闲存储空间。这使得空间利用更加高效,因为卷可以动态增长和收缩,无需手动调整大小或重新分区。
  2. 这意味着,与文件磁盘中的传统分区相比,在APFS中不同分区共享所有磁盘空间,而常规分区通常具有固定大小。
  3. 快照APFS支持创建快照,这些快照是只读的,是文件系统的特定时间点实例。快照可以实现高效备份和轻松系统回滚,因为它们消耗的额外存储空间很少,可以快速创建或还原。
  4. 克隆APFS可以创建共享与原始文件相同存储空间的文件或目录克隆,直到克隆或原始文件被修改为止。此功能提供了一种有效的方式来创建文件或目录的副本,而无需复制存储空间。
  5. 加密APFS原生支持全盘加密以及按文件和按目录的加密,增强了不同用例下的数据安全性。
  6. 崩溃保护APFS使用写时复制元数据方案,即使在突然断电或系统崩溃的情况下,也能确保文件系统的一致性,降低数据损坏的风险。

总的来说APFS为Apple设备提供了一个更现代、灵活和高效的文件系统专注于改进性能、可靠性和安全性。

diskutil list # Get overview of the APFS volumes

Data 卷被挂载在 /System/Volumes/Data(您可以使用 diskutil apfs list 命令来检查)。

可以在 /usr/share/firmlinks 文件中找到 firmlinks 的列表。

cat /usr/share/firmlinks
/AppleInternal	AppleInternal
/Applications	Applications
/Library	Library
[...]

左侧系统卷上的目录路径,在右侧是它在数据卷上映射的目录路径。因此,/library --> /system/Volumes/data/library